Over het algemeen wordt aangenomen dat de aanvallen die in de loop van vorig jaar op Google en nog veel andere bedrijven werden uitgevoerd, het werk waren van professionele criminelen met geavanceerde middelen. Damballa is het daar niet mee eens. Het heeft de aanvallen onderzocht en een rapport uitgebracht, waarin het stelt dat de aanvallen het best zijn te omschrijven als een gewone botnetaaval, alleen iets amateuristischer dan gemiddeld.

Amateuristisch botnetteam

In het rapport schrijft Damballa: “De aanval is niet vooral opmerkelijk vanwege het gebruik van een zero-day exploit in Internet Explorer 6, maar vanwege het ongeavanceerde design en een herkomst die wijst op een snel lerend, maar desondanks amateuristisch crimineel botnetteam.”

Door anderen zijn de aanvallen omschreven als erg geavanceerd. Ze zijn zelfs geclassificeerd als ‘Advanced Persistent Threats’, waar ondernemingen mee te maken hebben. Dat kwam vooral door de combinatie van hacking tools en social engineering, waarmee de hackers heel gericht te werk zouden zijn gegaan.

Command-and-control

De aanval werd uitgevoerd met de redelijk geavanceerde Hydraq trojan. Maar de rest van de tools waren dan weer niet heel erg geavanceerd, aldus Damballa. Maar dat bedrijf richt de aandacht vooral op de tools die gebruikt werden voor de controle over het botnet. Volgens Damballa maakt het botnet gebruik van een Dynamic DNS command and control systeem. Daardoor kan de opbouw van het botnet worden geklassificeerd als ‘old school’. Volgens Damballa wordt er door professionals nog zelden gebruik gemaakt van DDNS CnC. “Zo’n vertrouwen op DDNS CnC wordt zelfs geassocieerd met onervaren en amateuristische beheerders”, stelt het rapport.

Het onderzoek wijst verder uit dat de aanval helemaal niet in eerste instantie op Google was gericht. De eerste infecties van dat bedrijf waren afkomstig van verkeer dat niets te maken lijkt te hebben met de IE6/XP infectie. Die eerste infecties vonden plaats in juli 2009, en worden door Damballa geassocieerd met het testen van het botnet, dat vanuit China werd beheerd.

Volgens Damballa bepaalt niet de aanvalsvector het succes van een botnet, zoals eerder altijd is aangenomen, maar de command-and-control structuur. Die is namelijk nodig om de aanval tot een succes te maken. “Al het andere kan veranderen, maar CnC moet er zijn om het botnet samenhangend te laten optreden.

Trend

Mocht Damballa gelijk hebben in de aanname dat deze aanvallen zijn uitgevoerd door amateurs, dan wijst dit op een gevaarlijke trend. Afgelopen dagen werd al bekend dat Mariposa niet was opgezet door doorgewinterde criminelen, maar door gewone mensen. Nu dit nieuws daar bovenop komt lijkt het erop dat het opzetten van grote botnets voor iedereen is weggelegd.

Bron: Techworld